Compartilhar via

  • Artigo

As permissões de usuário autenticado são removidas

Tópico modificado em: 2009-01-23

Em um ambiente dos Serviços de Domínio Active Directory (AD DS) bloqueado, as entradas de controle de acesso de usuário (ACEs) são removidas dos contêineres padrão do Active Directory, incluindo Usuários, Configuração ou Sistema e as unidades organizacionais (UOs) em que os objetos de Usuário e Computador estão armazenados. A remoção das ACEs de usuário autenticado impede o acesso de leitura às informações do Active Directory. No entanto, a remoção das ACEs cria problemas para o Office Communications Server, pois ela depende da permissão de leitura nesses contêineres para que os usuários possam executar a preparação do domínio.

Nessa situação, a associação no grupo Admins. do Domínio, necessária à execução da preparação do domínio, da ativação do servidor e da criação do pool, não concede mais acesso de leitura às informações do Active Directory armazenadas nos contêineres padrão. Você deve conceder manualmente permissões de acesso de leitura em vários contêineres do domínio raiz da floresta para verificar se o procedimento de pré-requisito da preparação da floresta foi concluído.

Para habilitar um usuário a executar a preparação do domínio, a ativação do servidor e a criação do pool em qualquer domínio raiz que não seja da floresta, você tem as seguintes opções:

  • Usar uma conta que seja membro do grupo Administração de Empresa para executar a preparação do domínio
  • Usar uma conta que seja membro do grupo Admins. do Domínio e conceder a essa conta permissões de acesso de leitura em cada um dos seguintes contêineres no domínio raiz da floresta:
    • Domínio
    • Configuração ou Sistema

Se você não deseja usar uma conta que seja membro do grupo Administração de Empresa para executar a preparação do domínio ou outras tarefas de instalação, conceda explicitamente acesso de leitura à conta que você deseja usar nos contêineres relevantes da raiz da floresta.

Para dar permissão de acesso de leitura em contêineres do domínio raiz da floresta

  1. Faça logon no computador associado ao domínio raiz da floresta com uma conta que seja membro do grupo Admins. do Domínio para o domínio raiz da floresta.

  2. Execute adsiedit.msc para o domínio raiz da floresta.

    Se as ACEs de usuário autenticado tiverem sido removidas do contêiner Domínio, Configuração ou Sistema, você deverá conceder permissões somente leitura no contêiner, conforme descrito nas etapas a seguir.

  3. Clique com o botão direito do mouse no contêiner e, em seguida, clique em Propriedades.

  4. Clique na guia Segurança.

  5. Clique em Avançado.

  6. Na guia Permissões, clique em Adicionar.

  7. Digite o nome do usuário ou do grupo que está recebendo as permissões usando o seguinte formato: domínio\nome da conta.

  8. Clique em OK.

  9. Na guia Objetos, em Aplica-se a, clique em Somente Este Objeto.

  10. Em Permissões, selecione as seguintes ACEs permitidas clicando na coluna Permitir: Listar Conteúdo, Ler Todas as Propriedades e Permissões de Leitura.

  11. Clique em OK duas vezes.

  12. Repita essas etapas para qualquer contêiner relevante listado na Etapa 2.